Autorisatie onder de loep
Hoe zorgen wij voor een goede balans tussen beveiliging en privacy? Meer informatie over autorisatie.
Toen Apple en de FBI elkaar bijna in de haren vlogen over het ontgrendelen van een smartphone, werden gewone burgers zich bewust van een kwestie waar de beveiligingsindustrie zich al heel lang mee bezig houdt: de balans tussen beveiliging en privacy.
Fysieke toegangscontrole, automatische nummerplaatherkenning (ANPR) en videobewakingssystemen dragen bij aan de veiligheid van onze gebouwen, assets, gemeenschappen en mensen. Deze systemen verzamelen en bewaren gegevens met betrekking tot gebruikersidentiteiten, waar mensen zijn, waar ze naartoe gaan en wat ze aan het doen zijn.
Deze gegevens zijn van onschatbare waarde om beveiligingsrisico's te voorkomen en strafrechtelijke acties te ondernemen bij illegale activiteiten. Maar hoe zit het met de verzamelde gegevens van mensen die gewoon hun dagelijkse leven leiden?
Gegevens verzamelen zonder inbreuk te maken op privacy
Privacy is belangrijk. We willen immers niet dat iedereen zomaar toegang heeft tot onze activiteiten of persoonsgegevens. We willen er zeker van zijn dat de gegevens die over ons worden verzameld veilig zijn.
Gemeentes, bedrijven, datacenters en sterk gereguleerde instellingen zoals ziekenhuizen verzamelen steeds meer videomateriaal en andere gegevens en delen deze met wetshandhavingsinstanties. Daarom maken steeds meer mensen zich zorgen of deze gegevens wel goed worden beveiligd en hun privacy wel wordt gewaarborgd.
En bij het beschermen van onze gegevens kunnen we ons niet alleen maar richten op dreigingen van buitenaf. Dankzij de toegenomen integratie en samenwerking tussen systemen, komen steeds meer entiteiten in aanraking met onze beveiligingssystemen en vertrouwelijke gegevens.
Naast het beschermen van toegang door de juiste verificatiemechanismen, moeten we beheren wie onze gegevens kan zien en er wat mee kan doen.
We hebben het al gehad over hoe versleuteling voorkomt dat gegevens ontcijferd worden door onbevoegden en hoe verificatie ervoor zorgt dat we precies weten wie toegang krijgen tot het systeem.
Nu gaan we bekijken hoe autorisatie helpt bij privacybescherming door duidelijk te definiëren hoe bevoegde gebruikers toegang krijgen tot specifieke gegevens en of ze die gegevens of het gedrag van de server kunnen wijzigen.
Wat is autorisatie?
Met autorisatie kunnen beveiligingssysteembeheerders (toegangs)rechten aan gebruikers/operators toewijzen. Om precies te zijn beperken beheerders het activiteitenbereik door:
- toegangsrechten te verlenen aan groepen of personen voor middelen, gegevens en toepassingen;
- te definiëren wat gebruikers met deze middelen kunnen doen.
Wat videomateriaal betreft, is de mogelijkheid om activiteiten en toegang te beperken extreem belangrijk. Toegang tot opgenomen of gestreamde beelden moet uiterst veilig en beschermd zijn om de privacy van de betrokken personen te waarborgen.
Autorisatie binnen beveiligingssystemen
Om de gegevens in een beveiligingssysteem te beschermen, moeten beheerders in staat zijn om onder andere gedetailleerde gebruikerstoegangsrechten te implementeren, informatie te kiezen die intern gedeeld kan worden met partners en autoriteiten, en regelen hoelang gegevens worden bewaard. Logische verdelingen en rechten zijn slechts twee mechanismen die dit mogelijk maken.
Configuratie van logische verdelingen
Door logische partities te configureren, kunnen beheerders per gebruiker bepalen of deze bepaalde gegevens, zoals opgenomen videomateriaal, mag bekijken. Als de gebruiker geen toegang krijgt tot een partitie, is hij of zijn niet in staat om de gearchiveerde beelden in die partitie te bekijken.
Gebruikersrechten definiëren
De volgende stap is het definiëren van gebruikersrechten. Een gebruiker kan dan bijvoorbeeld wel gearchiveerde videomateriaal bekijken, maar of hij of zij dat materiaal ook kan exporteren, aanpassen of verwijderen hangt af van de rechten. Dit zorgt ervoor dat opnames alleen beheerd kunnen worden door onderzoekers met de juiste toegangsrechten. Hiermee verklein je de kans dat bewijs naar onbevoegden wordt gestuurd.
En om menselijke fouten verder te voorkomen, kunnen organisaties gebruikmaken van een LDAP-server, zoals Microsoft Active Directory, om automatisch beveiligingsgebruikersaccounts toe te voegen of te verwijderen, toegangsrechten te verlenen of om gebruikers te verwijderen die niet langer in de organisatie werken.
Als beheerders kunnen beheren wat de gebruikers mogen zien en doen, waarborgen ze de veiligheid van de gegevens die verstuurd en opgeslagen worden binnen hun beveiligingssysteem. Dit verbetert niet alleen de algemene beveiliging van het systeem, maar ook de beveiliging van andere gekoppelde systemen.
Lees onze vorige blogpost over dit onderwerp voor een samenvatting van alles wat we weten over de beveiliging van onze beveiliging.